AI-programmeringsværktøj fra Github lækker gyldige api-nøgler

9. juli 2021 kl. 07:015
AI-programmeringsværktøj fra Github lækker gyldige api-nøgler
Illustration: Ramcreativ, BigStock.
Værktøjet Github Copilot lækker hemmeligheder fra træningssæt.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Github er på vej med et kodeværktøj, der ved hjælp af kunstig intelligens kan skrive programkode, indtil videre i en beta-version.

Værktøjet, der hedder Copilot, skal assistere udvikleren med at skrive koden hurtigere og med mindre arbejdsindsats. Copilot er tilgængelig i en lukket udgave, som en udvidelse til Visual Studio Code.

Algoritmen bag udtrækker sammenhængen fra kommentarer og kode og foreslår individuelle linjer og hele funktioner med det samme. Bag værktøjet ligger Openai Codex, der er et nyt AI-system fra firmaet Openai, som står bag den gigantiske sprogmodel GPT-3.

Men det datasæt, som algoritmen er trænet på, har tilsyneladende indeholdt gyldige nøgler til forskellige tjenesters api'er.

Artiklen fortsætter efter annoncen

Ifølge mediet Fossbytes er det i hvert fald lykkedes udvikleren med profilnavnet Dtjm at få Copilot til at lække gyldige api-nøgler til email-tjenesten Sendgrid.

Et skærmskud af Dtjm's fejlrapport har tidligere været vist på Twitter, men er blevet slettet igen. Skærmskuddet kan dog findes på arkiv-tjenesten Archive.org. De følsomme oplysninger er sløret på skærmskuddet.

Github har erkendt problemet, og firmaets udviklere arbejder på en løsning.

Det er et almindelig kendt problem i kunstig intelligens, at systemer så at sige kan huske de data, de har set i træningen, og kan lokkes til at gengive disse data. Det er især et problem med personfølsomme og sikkerhedsfølsomme oplysninger, som ikke er blevet sløret i træningssættet.

Det er ikke det eneste problem, som Github Copilot står med. Ifølge Fossbytes har flere etablerede open source-udviklere forladt kodetjenesten, på grund af hvad de ser som uretmæssig anvendelse af open source-kode på Github.

En udvikler udtaler:

»Jeg er uenig i Githubs uautoriserede og ulicenserede brug af ophavsretligt beskyttet kildekode som træningsdata til deres ML-drevne Github Copilot AI. Dette produkt injicerer kildekode, der stammer fra ophavsretligt beskyttede kilder, i deres kunders software uden at informere om licensen til kildekoden. Dette letter uautoriseret og ulicenseret brug af copyrightindehavers arbejde i betydelig grad.«

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
13. juli 2021 kl. 09:38

AI-programmeringsværktøj fra Github lækker gyldige api-nøgler

Nej! "Sløsede programmører lækker gyldige api-nøgler". AI-programmeringsværktøj fra Github synliggør det på pinagtigste vis.

Ord betyder noget!

4
13. juli 2021 kl. 08:18

Det er lidt sjovt. Google translate oversætter open source til åben kilde, men ikke screenshot til skærmskud.

2
9. juli 2021 kl. 11:52

LOL, det er et rigtigt åbent værktøj.

Hvis løsningen på en algoritme er et systemkald, så skal den selvfølgelig også have kode som laver dette kald :-D

1
9. juli 2021 kl. 10:57

Hvorfor så ikke have oversat "open source" til "åben kilde" også?